2024 年の Web3 セキュリティ インシデント トップ 10: Beosin によるレビュー

2024 年、ブロックチェーン業界はテクノロジーを革新しエコシステムを拡大する一方で、ますます深刻なセキュリティ課題に直面しています。

Despite the rapid technological advancements and expanding ecosystem in the blockchain industry, 2024 has witnessed a surge in severe security challenges. According to the Alert platform of security audit company Beosin, Web3-related losses due to hacker attacks, phishing scams, and project party "Rug Pulls" have reached an alarming total of US$2.491 billion by press time.

ブロックチェーン業界における技術の急速な進歩とエコシステムの拡大にも関わらず、2024 年には深刻なセキュリティ上の課題が急増しています。セキュリティ監査会社 Beosin の Alert プラットフォームによると、ハッカー攻撃、フィッシング詐欺、プロジェクト パーティ「Rug Pulls」による Web3 関連の損失は、記事執筆時点で驚くべき総額 24 億 9,100 万米ドルに達しています。

These incidents not only highlighted technical vulnerabilities such as private key mismanagement and smart contract flaws but also brought to light the potential risks posed by social engineering and internal management. In this article, we will delve into the top ten Web3 security

これらのインシデントは、秘密キーの管理ミスやスマート コントラクトの欠陥などの技術的な脆弱性を浮き彫りにしただけでなく、ソーシャル エンジニアリングや内部管理によってもたらされる潜在的なリスクも明らかにしました。この記事では、トップ 10 の Web3 セキュリティについて詳しく説明します。

incidents of 2024 to help the industry learn from past experiences and better prepare for future threats.

業界が過去の経験から学び、将来の脅威に対してより適切に備えることができるよう、2024 年のインシデントに対処します。

No.1 DMM Bitcoin

No.1DMMビットコイン

Amount of Loss: $304 million

損失額：3億400万ドル

Attack Method: Private key leakage

攻撃手法：秘密鍵漏洩

On May 31, 2024, a long-established cryptocurrency exchange in Japan, DMM Bitcoin, fell victim to a massive attack. The attacker, having obtained the leaked private key, directly transferred Bitcoin valued at over $300 million and swiftly dispersed the stolen funds across 10 different addresses.

2024 年 5 月 31 日、日本の老舗仮想通貨取引所である DMM Bitcoin が大規模な攻撃の被害に遭いました。漏洩した秘密キーを入手した攻撃者は、3 億ドル以上相当のビットコインを直接転送し、盗んだ資金を 10 の異なるアドレスに迅速に分散させました。

This attack exposed DMM Bitcoin's critical deficiencies in private key management and multi-layer security protection. Despite the exchange's attempt to track the stolen Bitcoin on-chain and freeze the funds, the attacker's use of mixing tools to disperse and clean the funds posed a significant challenge.

この攻撃により、DMM Bitcoin の秘密鍵管理と多層セキュリティ保護における重大な欠陥が明らかになりました。盗まれたビットコインをオンチェーンで追跡し、資金を凍結しようとする取引所の試みにもかかわらず、攻撃者が資金を分散させて浄化するために混合ツールを使用したことは、重大な課題を引き起こした。

On December 24, Japanese police concluded that the DMM Bitcoin theft was perpetrated by the North Korean hacker organization Lazarus Group.

12月24日、日本の警察はDMM Bitcoin盗難は北朝鮮のハッカー組織Lazarus Groupによる犯行であると結論づけた。

No.2 PlayDapp

No.2 プレイダップ

Amount of Loss: $290 million

損失額：2億9000万ドル

Attack Method: Private key leakage

攻撃手法：秘密鍵漏洩

A devastating blow was dealt to PlayDapp on February 9, 2024, when hackers stole the project's private keys and minted 2 billion PLA tokens, initially valued at $36.5 million. Following failed negotiations between the project and the hackers, the attackers minted an additional 15.9 billion PLA tokens, valued at $253.9 million, in a short span of time.

2024 年 2 月 9 日、ハッカーがプロジェクトの秘密鍵を盗み、当初 3,650 万ドル相当の 20 億 PLA トークンを鋳造したとき、PlayDapp は壊滅的な打撃を受けました。プロジェクトとハッカーの間の交渉が失敗に終わった後、攻撃者は短期間にさらに 159 億の PLA トークン (2 億 5,390 万ドル相当) を鋳造しました。

After some of these tokens entered the Gate exchange, PlayDapp was compelled to suspend the PLA contract and migrate to the PDA token contract. This incident underscored the shortcomings in private key protection and incident emergency response among blockchain projects.

これらのトークンの一部が Gate 交換に参入した後、PlayDapp は PLA 契約を一時停止し、PDA トークン契約に移行することを余儀なくされました。このインシデントは、ブロックチェーンプロジェクト間の秘密キーの保護とインシデントの緊急対応における欠陥を浮き彫りにした。

No.3 WazirX

No.3 ワジルX

Amount of Loss: $235 million

損失額：2億3,500万ドル

Attack Methods: Cyberattack, phishing

攻撃手法：サイバー攻撃、フィッシング

On July 18, 2024, the Safe Wallet multi-signature wallet of WazirX, India's largest cryptocurrency exchange, was precisely targeted by hackers. The attacker employed social engineering tactics to manipulate a multi-signature signer into approving a contract upgrade transaction, which was then exploited to siphon off all the assets in the wallet.

2024 年 7 月 18 日、インド最大の仮想通貨取引所である WazirX の Safe Wallet マルチシグネチャ ウォレットがまさにハッカーの標的となりました。攻撃者はソーシャル エンジニアリング戦術を使用して、複数署名の署名者を操作して契約アップグレード トランザクションを承認させ、それを悪用してウォレット内のすべての資産を吸い上げました。

This case highlighted the potential risks associated with multi-signature wallets in terms of management authority configuration and operational transparency. It also sparked industry-wide introspection on the internal risk control and security mechanisms of the project.

この事件は、管理権限の構成と運用の透明性の観点から、マルチシグネチャウォレットに関連する潜在的なリスクを浮き彫りにしました。また、これは、プロジェクトの内部リスク管理とセキュリティ メカニズムについて業界全体で内省するきっかけにもなりました。

For an in-depth analysis of the incident and fund tracking, please refer to "Beosin | Analysis of the $235 million theft from Indian exchange WazirX".

事件と資金追跡の詳細な分析については、「Beosin | インド取引所 WazirX からの 2 億 3,500 万ドル盗難の分析」を参照してください。

No.4 Gala Games

第4回 ガラゲームズ

Amount of Loss: $216 million

損失額：2億1,600万ドル

Attack Method: Access control vulnerability

攻撃方法: アクセス制御の脆弱性

A privileged address of Gala Games was compromised on May 20, 2024. The attacker exploited a vulnerability in the token contract's mint function to generate 5 billion GALA tokens at once. Subsequently, the attacker exchanged the additional tokens for ETH in batches, directly leading to a loss of 216 million US dollars.

Gala Games の特権アドレスは、2024 年 5 月 20 日に侵害されました。攻撃者は、トークン コントラクトのミント機能の脆弱性を悪用して、一度に 50 億の GALA トークンを生成しました。その後、攻撃者は追加のトークンを一括して ETH に交換し、2 億 1,600 万米ドルの損失に直接つながりました。

In the aftermath of the incident, the Gala Games team promptly activated the blacklist function to block several hacker accounts and recovered the losses through legal channels.

この事件の余波を受けて、Gala Games チームは即座にブラックリスト機能を有効にして複数のハッカー アカウントをブロックし、法的手段を通じて損失を回復しました。

No.5 Chris Larsen (Ripple's co-founder)

No.5 クリス・ラーセン（リップル共同創設者）

Amount of Loss: $112 million

損失額：1億1,200万ドル

Attack Method: Private key leakage

攻撃手法：秘密鍵漏洩

Four personal wallets belonging to Chris Larsen, co-founder of Ripple, were hacked on January 31, 2024, resulting in the theft of $112 million in XRP. These wallets are suspected to have become targets of attack due to the lack of dual protection for hardware devices.

リップル社の共同創設者であるクリス・ラーセン氏の個人ウォレット4つが2024年1月31日にハッキングされ、1億1,200万ドルのXRPが盗難されました。これらのウォレットは、ハードウェア デバイスに対する二重保護が欠如しているため、攻撃のターゲットになった疑いがあります。

Binance successfully froze XRP valued at $4.2 million and assisted Larsen in tracking the stolen assets, but the majority of the funds had already been laundered through decentralized exchanges and currency mixing services.

バイナンスは420万ドル相当のXRPの凍結に成功し、盗まれた資産の追跡でラーセン氏を支援したが、資金の大部分はすでに分散型取引所や通貨混合サービスを通じて洗浄されていた。

No.6 Munchables

No.6 マンチャブル

Amount of Loss: $62.5 million

損失額: 6,250万ドル

Attack Method: Social engineering attack

攻撃手法：ソーシャルエンジニアリング攻撃

On March 26, 2024, Munchables, a Web3 game platform built on Blast, encountered a rare internal penetration attack. The attacker, a North Korean hacker, posed as a blockchain developer and managed to obtain the core code and sensitive keys through a prolonged period of lurking.

2024 年 3 月 26 日、Blast 上に構築された Web3 ゲーム プラットフォームである Munchables が、まれな内部侵入攻撃に遭遇しました。攻撃者は北朝鮮のハッカーであり、ブロックチェーン開発者を装い、長期間潜伏してコアコードと機密キーを入手することに成功した。

Despite the attack causing substantial

多大な被害をもたらした攻撃にもかかわらず、